Home > 전체기사
SQL 요청 활용해 악성 코드 다운받는 ‘화이트셰도우’ 다운로더
  |  입력 : 2019-10-01 10:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
SQL을 통해 다운로드 받는 기법, 새로운 것은 아니나 흔한 것도 아니야
화이트셰도우의 가장 큰 문제는 범죄자들이 유료로 활용할 수 있는 서비스라는 것


[보안뉴스 문가용 기자] SQL 요청을 활용해 악성 페이로드를 다운로드 받는 작업을 수행하는 마이크로소프트 오피스 매크로들이 보안 업체 프루프포인트(Proofpoint)에 의해 발견됐다. 이 매크로들은 화이트셰도우(WhiteShadow)로 통칭된다.

[이미지 = iclickart]


화이트셰도우가 처음 발견된 건 2019년 8월의 일이다. 크림슨(Crimson)이라는 원격 접근 트로이목마(RAT)의 한 변종을 배포하고 있었다. 최근 다시 나타난 화이트셰도우는 그 때보다 탐지 우회와 난독화 기술이 한층 보강된 상태라고 한다.

이 다운로더는 이메일에 첨부된 마이크로소프트 워드와 엑셀 문서를 통해 퍼진다. 피해자가 이 파일을 받아 매크로를 활성화시키면, SQL 요청들이 실행된다. 이 때 요청은 공격자가 통제하고 있는 SQL 서버 데이터베이스로 전송된다. 이 DB에는 멀웨어가 아스키(ASCII) 형태의 긴 문자열 상태로 저장되어 있다고 한다.

“매크로가 실행되면 긴 문자열이 서버로부터 날아옵니다. 그리고 PKZIP이라는 아카이브의 형태로 디스크에 저장되죠. 저장이 끝나면 아카이브가 실행되고, 악성 페이로드가 설치됩니다.” 프루프포인트의 설명이다.

최초로 발견된 화이트셰도우 캠페인과 현재의 캠페인 사이에는 뚜렷한 연관성이 나타나지 않고 있다. 당시에 화이트셰도우와 함께 발견됐던 크림슨 RAT는 소수의 몇몇 해킹 단체들만이 사용하던 것으로, 보편적인 해킹 툴과는 거리가 멀다. 이번에 배포되고 있는 멀웨어의 정체는 명확히 드러나지 않았다.

분석가들은 화이트셰도우 다운로더가 유료 서비스 형태로 사이버 공격자들 사이에서 판매되고 있는 것으로 보인다는 의견이다. 이번 공격에 연루된 공격자의 SQL 서버 역시 대여 서비스의 일종으로 보인다고 한다. 이 분석이 맞는다면, 이전 화이트셰도우 공격과 이번 공격의 연관성은 없을 가능성이 높다.

화이트셰도우가 자신의 기능을 수행하기 위해 사용하는 건 SQLOLEDB 커넥터라는 요소로, 이는 마이크로소프트 오피스 설치 시 디폴트로 포함되는 것이다. 화이트셰도우는 SQLOLEDB를 활용해 원격에 있는 마이크로소프트 SQL 서버에 접근하고, 요청을 실행하며, 그 결과를 파일(PKZIP)에 저장한다.

이런 방법으로 다운로드 하는 멀웨어는 다음과 같다고 알려져 있다.
1) 에이전트 테슬라(Agent Tesla)
2) 아조럴트(AZORult)
3) 크림슨
4) 나노코어(NanoCore)
5) 엔제이랫(njRat)
6) 오리온 로거(Orion Logger)
7) 렘코스(Remcos)
8) 폼북(Formbook)

SQL 요청을 통해 다음 단계의 페이로드를 다운로드 받는 건, 화이트셰도우만의 고유한 기능은 아니다. 그렇다고 자주 눈에 띄는 것도 아니다. “이전에도 한 번 나왔던 전략이긴 합니다. 그러나 흔히 발견되는 건 아닙니다. 꽤나 독특하다고 말할 수도 있습니다.” 프루프포인트의 설명이다.

이번 발견에서 가장 주목해야 할 건 “화이트셰도우가 유료 서비스의 형태로 여러 사이버 공격자들에게 퍼지고 있다는 것”이다. 정체를 알 수 없는 다양한 공격자들이 너도나도 이 서비스를 활용하게 된다면, 범죄 행위를 저지른 주체를 찾는 게 힘들어지고, 따라서 방어 전략을 세우기가 난감해지기 때문이다.

현재로서는 TCP 포트 1433을 통한 아웃바운드 트래픽과, 메일함으로 들어오는 수상한 이메일을 경계하는 수밖에 없다고 프루프포인트는 경고한다. “포트 1433을 통한 아웃바운드 트래픽은 차단하거나, 최소한 특정 상황에서만 사용되도록 제한해야 합니다. 현재 화이트셰도우가 동원된 캠페인의 규모는 작은 편에 속하지만, 점점 커질 가능성이 높습니다.”

3줄 요약
1. 화이트셰도우로 통칭되는 악성 매크로 기반 다운로더 발견됨.
2. SQL 쿼리를 이용해 추가 악성 코드를 다운로드 받는 기능 수행함.
3. 범죄자들 사이에서 유료로 대여되는 형태로 활용되는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)